CISP试题及答案-四套题 下载本文

信息安全保障参考文件

26.以下关于linux超级权限的说明,不正确的是:

A.一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成 B.普通用户可以通过su和sudo来获取系统的超级权限

C.对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行 D.Root是系统的超级用户,无论是否为文件和程序的所有者都只有访问权限 27.在windows操作系统中,欲限制用户无效登录的次数,应当怎么做? A.在“本地安全设置”中对“密码策略”进行设置

B.在“本地安全设置”中对“账户锁定策略”进行设置

C.在“本地安全设置”中对“审核策略”进行设置

D.在“本地安全设置”中对“用户权利指派”进行设置 28.以下对windows系统日志的描述错误的是:

A.Windows系统默认有三个日志,系统日志、应用程序日志、安全日志

B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件X再XX控制器的故障 C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接XX)XXX D安全日志跟踪网络入侵事件,**拒绝服务攻击,口令暴力破解等。

29为了实现数据库的完整性控制,数据库管理员向提出一组完整行规则来检查数据库中的数据,

完整行规则主要有三部分组成,一下那一个不是完整性规则的内容

A完整新约束条件 B完整新检查机制 C完整新修复机制 D违约处理机制

30.数据库事务日志的用途是: A.事务处理 B.数据恢复 C.完整性约束 D.保密性控制

页脚内容6

信息安全保障参考文件

31.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖

的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?

A.缓冲区溢出 B.SQL注入 C.设计错误 D.跨站脚本

32.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A.明文形式存在

B.服务器加密后的密文形式存在 C.Hasn运算后的消息摘要值存在 D.用户自己加密后的密文形式存在

33.下列对跨站脚本攻击(XSS)的描述正确的是:

A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码,当用户浏览该页面时嵌入其中WEB页

面的代码会被执行,从而达到恶意攻击用户的特殊目的

B.XSS攻击是DOOS攻击的一种变种 C.XSS攻击就是CC攻击

D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使HS连接X超出限制,

当CPU———————耗尽,那么网站也就被攻击垮了,从而达到攻击的目的。

34.下列哪种恶意代码不具备“不感染、依附性”的特点? A.后门 B.*门 C.木马 D.蠕虫

35.下列关于计算机病毒感染能力的说法不正确的是 A能将自身代码注入到引导区

B能讲自身代码注入到扇区中的文件镜像 C能将自身代码注入文本中并执行

页脚内容7

信息安全保障参考文件

D能将自身文件注入到文档配置版的宏文件中 36.Smurf利用下列哪种协议进行攻击? A.ICMP B.IGMP C.TCP D.UDP

37.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接受者,这

种情况属于哪一种攻击?

A.重放攻击 B.Smurt攻击 C.字典攻击 D.中间人攻击

38.下列哪些措施不是有效的缓冲区溢出的防护措施?

A.使用标准的C语言字符串库进行操作 B.严格验证输入字符串长度 C.过滤不合规则的字符

D.使用第三方安全的字符串库操作 39.下面对PDCA模型的解释不正确的是:

A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法 C.也被称为“戴明环”

D.适用于对组织整体活动的优化,不适合单个的过程以及个人 40.风险评估方法的选定在PDCA循环中的哪个阶段完成? A.实施和运行 B.保持和改进 C.建立

页脚内容8

信息安全保障参考文件 D.监视和评审

41.在风险管理准备阶段“建立背景”(对象建立)过程中不用设置的是: A.分析系统的体系结构 B.分析系统的安全环境 C.制定风险管理计划 D.调查系统的技术特性

42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。

关于这些过程,以下的说法哪一个是正确的?

A.风险分析准备的内容是识别风险的影响和可能性

B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性

D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施 43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系? A.脆弱性增加了威胁,威胁利用了风险并导致了影响

B.风险引起了脆弱性并导致了影响,影响又引起了威胁

C.风险允许威胁利用脆弱性,并导致了影响

D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例 44.管理者何时可以根据风险分析结果对已识别的风险不采取措施? A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B.当风险减轻方法提高业务生产力时

C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受

45.以下选项中哪一项是对于信息安全风险采取的纠正机制? A.访问控制 B.入侵检测 C.灾难恢复

页脚内容9

信息安全保障参考文件 D.防病毒系统

46.下列对风险分析方法的描述正确的是: A.定量分析比定性分析方法使用的工具更多 B.定性分析比定量分析方法使用的工具更多 C.同一组织只用使用一种方法进行评估 D.符合组织要求的风险评估方法就是最优方法 47.下列哪种处置方法属于转移风险? A.部署综合安全审计系统 B.对网络行为进行实时监控 C.制订完善的制度体系

D.聘用第三方专业公司提供维护外包服务

48.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责最终责任? A.部门经理 B.高级管理层 C.信息资产所有者 D.最终用户

49.以下关于“最小特权”安全管理原则理解正确的是: A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限

D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

50.在《信息系统灾难恢复规范》中,根据___要素,X灾难恢复等级划分为___X. A.7;6 B.8;7 C.7;7 D.8;6

页脚内容10